В Google Cloud сообщили, что злоумышленники, нацеленные на облачные среды, теперь отдают предпочтение получению первоначального доступа с помощью уязвимостей софта, а не атакам, основанным на учётных данных.
В отчёте под названием «Горизонты угроз Google Cloud в первой половине 2026 года» на основе собственной практики компании подробно описывается, как изменилась ситуация в этой сфере. Со слов представителя корпорации Кристал Листер, в ней «наблюдается фундаментальный сдвиг». Традиционно хакеры полагались на слабые учётные данные и неправильные настройки для получения доступа к облаку, однако, со второй половины 2025 года они всё чащё эксплуатируют бреши в системах вендоров.
В общей сложности, на использование стороннего ПО для проникновения в систему во второй половине прошлого года приходилось 44,5%, тогда как в первой — лишь 2,9%.
При этом злоупотребление слабыми или отсутствующими учётными данными в качестве точки входа в тот же период снизилось с 47,1% до 27,2%. Одна из наиболее распространённых уязвимостей софта — React2Shell позволяет атакующим получить контроль над серверами и скомпрометировать данные. На Западе её приписывают госструктурам, связанным как с Северной Кореей, так и с Китаем.
«Хотя базовая инфраструктура Google Cloud остаётся защищённой, злоумышленники успешно атакуют незащищённые приложения и разрешительные правила брандмауэра, определяемые пользователями, — пояснили в Google Cloud. — Для снижения этих рисков в любой среде безопасникам следует сосредоточиться на контроле доступа к идентификационным данным, использовании централизованных инструментов обеспечения видимости и автоматическом соответствии требованиям безопасности».
Согласно отчёту, промежуток времени между раскрытием уязвимости и её массовой эксплуатацией сократился «на порядок» — с недель до нескольких дней. В конечном итоге, если организации не устранили бреши в течение нескольких дней после обнаружения, то опасность инцидентов становится реальной. Например, всего за 48 часов после публичного раскрытия уязвимости React2Shell в декабре 2025 года несколько злоумышленников уже использовало её для заражения жертв ВПО для майнинга криптовалюты.
Google объяснила, как избежать ловушки: «В целях защиты организациям следует перейти от ручного режима к автоматизированным средствам защиты, таким как обновление брандмауэра веб-приложений (WAF) — для нейтрализации эксплойтов на периферии сети до применения обновлений ПО».
Усам Оздемиров
.jpg)
